@nitra/cursor 1.8.208 → 1.8.210

package/CHANGELOG.md

@@ -4,6 +4,109 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.210] - 2026-05-08
+
+### Added
+
+- `js-bun-db` v1.6: правило тепер забороняє локальні pg-format-сумісні шими у
+  файлах з Bun SQL.
+  - Розділ `## pg-format: повне видалення, без шимів` у `npm/mdc/js-bun-db.mdc`:
+    типові ідіоми `format(...)` → tagged template, заборонений drop-in `format()`
+    і `pg`-сумісна `query(text, params)`-обгортка над `sql.unsafe(...)`.
+  - Два нові AST-детектори у `npm/scripts/utils/bun-sql-scan.mjs`:
+    `findPgFormatShimDefinitionInText` (функції `format` / `pgFormat` /
+    `sqlFormat` / `pgFmt` з `%L`/`%I`/`%s` у тілі, плюс `quoteLiteral` /
+    `quoteIdent` / `escapeLiteral` / `escapeIdent` без додаткової перевірки)
+    та `findPgFormatLikeQueryWrapperInText` (`{ query(text, params) { ...
+    <obj>.unsafe(...) ... } }`). Скан запускається лише у файлах з
+    `import { sql|SQL } from 'bun'`.
+  - `npm/scripts/check-js-bun-db.mjs` рапортує `pgFormatShim` / `queryWrapper` —
+    окремі лічильники й `pass`-рядки, без зміни існуючих перевірок.
+
+## [1.8.209] - 2026-05-08
+
+### Removed
+
+- Дедуплікація JS-перевірок, що вже покриті Rego-полісі (запускаються через
+  `bun run lint-conftest`):
+  - `npm/scripts/check-bun.mjs` — без `checkBunfigHoisted`, `checkDevDependencies`,
+    `checkLintAggregate`, перевірок `pkg.packageManager` і кореневого
+    `pkg.dependencies`. Лишилася FS-existence (`bun.lock`, `bunfig.toml`,
+    `package.json`, заборонені lockfile, директорія `.yarn/`) і cross-file гейт
+    `lint-docker` / `lint-k8s` від `.n-cursor.json:rules`.
+  - `npm/scripts/check-php.mjs` — без перевірок `lint-php` скрипта і `run` у
+    `lint-php.yml`. Лишилися FS-existence для `composer.json`, `package.json`,
+    `lint-php.yml`.
+  - `npm/scripts/check-style-lint.mjs` — без перевірок `lint-style` через
+    `npx stylelint`, `@nitra/stylelint-config` у `devDependencies`,
+    `stylelint.extends`, `npx stylelint` у `lint-style.yml`. Лишилися VSCode-
+    конфіги, `.stylelintignore`, FS-existence workflow і альтернатива зовнішнього
+    конфіг-файлу `stylelint`.
+  - `npm/scripts/check-graphql.mjs` — без `checkPackageDumpSchemaScript` (структура
+    `scripts.dump-schema`); решта логіки (gql AST-скан, `.graphqlrc.yml`,
+    VSCode-розширення) лишилася.
+  - `npm/scripts/check-image-compress.mjs` — без `checkLintImageScript`,
+    `checkLintAggregateIncludesImage`, `checkMinifyImageNotInDeps`. Лишилися
+    `.n-minify-image.tsv` НЕ в `.gitignore` і видалення застарілого
+    `.minify-image-cache.tsv`.
+  - `npm/scripts/check-js-bun-db.mjs` — без `checkForbiddenDependencies`
+    (`pg`/`pg-format`/`mysql2`); AST-скан коду (`new SQL(...)` всередині функції,
+    `unsafe()` без маркера, динамічні `IN (…)`) лишився.
+  - `npm/scripts/check-text.mjs` — без `checkOxfmtRc`, `checkCspellConfig`,
+    `checkCspellJsonDictImports`, `checkMarkdownlintConfig`, `prettier`/`@nitra/cspell-dict`/`markdownlint-cli2`/`@nitra/*` гейт у
+    `checkPackageJsonTextDepsUsage`. Лишилися VSCode-конфіги, `.v8rignore`,
+    Prettier-файли в корені, абзац про український апостроф у `.mdc`,
+    складна валідація скрипта `lint-text` і виклик `bun run lint-text` у
+    workflow.
+  - `npm/scripts/check-vue.mjs` — без `checkViteVersion` (vite ≥ 8). AST-скан коду
+    і vite-config-перевірки лишилися.
+  - `npm/scripts/check-npm-module.mjs` — без `checkNpmTypesField`,
+    `emitTypesConfigIssues`, перевірок полів `npm-publish.yml`,
+    `workspaces ∋ "npm"` у кореневому `package.json`. Лишилися FS-existence,
+    наявність файлу зі шляху `types`, hk.pkl-перевірки, CHANGELOG-version-match,
+    git-dirty-bump.
+  - `npm/scripts/check-js-lint.mjs` — без `checkPackageJsonLintDeps`
+    (prettier-залежність, `@nitra/eslint-config ≥ 3.9.2`),
+    `checkPackageJsonTypeModule` для root, `checkEnginesNode/Bun` для root,
+    канонічний `lint-js`-скрипт, валідація `lint-js.yml` (`verifyLintJsWorkflowStructure`
+    + fallback). Лишилися — `.oxlintrc.json` canonical-snapshot, VSCode-розширення,
+    workspace-ітерація для `type: "module"` і engines, дубль JS-кроків у `lint.yml`,
+    `.jscpd.json`. Прибрано непотрібні імпорти `parseWorkflowYaml`,
+    `verifyLintJsWorkflowStructure` і `OXLINT_FIX_RE`.
+  - `npm/scripts/check-js-run.mjs` — без перевірок `bunyan` / `@nitra/bunyan` у
+    залежностях, canonical `jsconfig.json` через `deepEqualJson`,
+    `OTEL_RESOURCE_ATTRIBUTES` у `configmap.yaml`. Лишилися AST-скан коду
+    (bunyan, conn-aliases, process.env, setTimeout) і FS-existence для
+    `jsconfig.json` / `configmap.yaml`. Прибрано `CANONICAL_BACKEND_JSCONFIG`,
+    `deepEqualJson`.
+  - `npm/scripts/check-adr.mjs` — без `settingsHaveAdrHookGroup`,
+    `checkProjectSettings` структурного порівняння і
+    `checkLocalSettingsNoDuplicate`. Лишилися hash-порівняння bash-скрипта,
+    `.gitignore`-патерн, LLM CLI у PATH, FS-existence settings.json.
+    Прибрано `HOOK_COMMAND_MARKER`, `PROJECT_LOCAL_SETTINGS_PATH` (для
+    settings.local — Rego policy gating).
+  - `npm/scripts/check-ga.mjs` — без `verifyConcurrencyBlock`,
+    `verifyNoDirectBunOrCache`, `verifyNoRunShellLineContinuationBackslash`,
+    `verifyCheckoutBeforeLocalSetupBunDeps`, `validateConcurrencyOnRoot`. Тепер
+    усі workflow-структурні перевірки виконуються через conftest у `lint-ga.mjs`
+    (`ga.workflow_common`); лишилася лише git-залежна перевірка `on.*.paths`
+    glob-ів через `git ls-files :(glob)`. Прибрано константи
+    `SETUP_BUN_PATTERNS`, `FORBIDDEN_BUN_PATTERNS`, `EXPECTED_CONCURRENCY_GROUP`
+    і непотрібні імпорти з `gha-workflow.mjs`.
+
+### Changed
+
+- Тести `check-bun.test.mjs`, `check-image-compress.test.mjs`,
+  `check-js-bun-db.test.mjs`, `check-js-run-fixture.test.mjs`,
+  `check-adr.test.mjs` — прибрано / `skip` тести, що дублювали Rego-полісі;
+  лишилися лише FS / cross-file сценарії.
+- `npm/policy/{capacitor,js_mssql,abie,k8s,hasura}/**/*.rego` — у заголовках
+  policy-файлів додано позначку, що JS-чек у відповідному `check-*.mjs`
+  лишається authoritative (повна semver-семантика з OR-діапазонами для
+  `capacitor`/`js-mssql`; ширший набір полів і cross-file Kustomize-контекст
+  для `abie`/`k8s`; cross-file env-DNS-резолюція для `hasura`). Rego там — швидкий
+  гейт для одиничного файлу (наприклад через IDE).
+
 ## [1.8.208] - 2026-05-08
 
 ### Added

package/mdc/js-bun-db.mdc

@@ -1,7 +1,7 @@
 ---
 description: Використання pg / mysql2 / Bun SQL у Node.js та Bun
 alwaysApply: true
-version: '1.5'
+version: '1.6'
 ---
 
 ## Підтримувані версії баз даних
@@ -18,6 +18,58 @@ PostgreSQL 18+, MariaDB 10.6+ (сумісний з MySQL-протоколом,
 
 `pg-format` — це ручне форматування SQL через escape (`format('... %L ...', value)`); такі рядки легко поламати неправильним типом, locale-залежним escape або забутим `%L`. Tagged template Bun SQL параметризує значення нативно (`sql\`... ${value} ...\``) і не лишає простору для injection — окремий «форматер» не потрібен.
 
+## `pg-format`: повне видалення, без шимів
+
+Міграція з `pg-format` — це **зміна стилю запитів**, а не збереження API. У проєкті після переходу на Bun SQL **заборонено** залишати:
+
+- функцію з іменем `format` (чи `pgFormat`, `sqlFormat`, `pgFmt`), що приймає шаблон з `%L` / `%I` / `%s` і значення;
+- допоміжні `quoteLiteral`, `quoteIdent`, `escapeLiteral`, `escapeIdent` як публічні експорти модуля;
+- обгортки `pgRead.query(text, params)` / `pgWrite.query(text, params)` / `db.query(text, params)`, які складають SQL-рядок (з або без `format`) і викликають `sql.unsafe(text, params)` — це повертає injection-поверхню, від якої ми йдемо, тільки під «зручним» іменем.
+
+Замість цього всі точки використання потрібно перевести на tagged template `sql\`...\${value}...\``. Кожне `${value}` стає окремим параметром bind, без рядкового екранування.
+
+### Типові ідіоми `pg-format` → Bun SQL
+
+| Було (`pg-format`)                                 | Стало (Bun SQL)                                                                                  |
+| -------------------------------------------------- | ------------------------------------------------------------------------------------------------ |
+| `format('... WHERE id = %L', id)`                  | `sql\`... WHERE id = ${id}\``                                                                    |
+| `format('... IN (%L)', ids)`                       | `sql\`... IN ${sql(ids)}\`` (з guard на пустоту перед запитом)                                   |
+| `format('INSERT ... VALUES %L', [row])` (1 рядок)  | `sql\`INSERT ... VALUES (${a}, ${b}, ...)\``                                                     |
+| `format('INSERT ... VALUES %L', rows)` (N рядків)  | `sql\`INSERT INTO t ${sql(rows, 'a', 'b')}\`` або `unnest($1::T[], $2::T[]) AS t(a, b)`          |
+| `format('MERGE ... USING (VALUES %L) AS d(...)')`  | `sql\`MERGE ... USING (SELECT * FROM unnest(${arrA}::A[], ${arrB}::B[]) AS t(a, b)) AS d\``      |
+| `format('... %I ...', tableName)` (whitelist)      | `sql.unsafe(\`... \${tableName} ...\`)` з маркером `// allow-unsafe: <причина>` і whitelist'ом   |
+
+Для multi-row `VALUES` у `MERGE` / `INSERT` з конкретними типами — паралельні масиви по колонках і `unnest($1::TYPE[], $2::TYPE[], ...) AS t(col1, col2, ...)`. Кожна колонка передається одним параметром-масивом; типи задаються кастом масиву (`::uuid[]`, `::bigint[]`, `::numeric[]`, `::text[]`, …).
+
+### Заборонений «drop-in» шим
+
+```javascript
+// ❌ pg-format-сумісний шим, що ховає `unsafe` під «безпечним» іменем
+export function format(fmt, ...args) {
+  let i = 0
+  return fmt.replaceAll(/%[LIs]/g, () => quoteLiteral(args[i++]))
+}
+
+// ❌ і його типовий call-site — той самий injection-вектор, що і прямий sql.unsafe із конкатенацією
+await sql.unsafe(format('... WHERE id = %L', userId))
+```
+
+```javascript
+// ❌ pg-сумісна обгортка над Bun SQL — ще один прихований `unsafe`
+export const pgWrite = {
+  query(text, params) {
+    return sql.unsafe(text, params)
+  }
+}
+```
+
+```javascript
+// ✅ напряму tagged template — параметризація через wire-protocol bind
+await sql`... WHERE id = ${userId}`
+```
+
+Виняток для шиму `format()` під час поетапної міграції допускається **тільки** в окремому commit'і з TODO-маркером і дедлайном; готовий код у main з таким шимом — `fail` правила (детектори: `pg-format shim`, `query wrapper over unsafe`).
+
 ## Підключення (singleton + env)
 
 Дефолтний експорт `sql` з `'bun'` сам читає змінні середовища (`DATABASE_URL`, `POSTGRES_URL`, `MYSQL_URL`, `PGHOST`/`PGUSER`/... та `MYSQL_HOST`/`MYSQL_USER`/...) і керує пулом — окремий `Pool` як у `pg` створювати не треба.
@@ -197,6 +249,8 @@ function getUser(id) {
 
 Якщо в коді з'явився `import { sql } from 'bun'`, то `pg`, `pg-format` та `mysql2` мають бути прибрані і з `dependencies`, і з імпортів — щоб не лишалось двох паралельних шляхів до БД та ручного форматування поряд із параметризованими template literal.
 
+Те саме стосується **локальних шимів**: будь-який модуль, що експортує `format`, `pgRead`, `pgWrite`, `query(text, params)`, `quoteLiteral`, `quoteIdent` як обгортку над `sql.unsafe(...)`, потрібно переписати — всі call-site на tagged template, сам шим видалити (див. `## pg-format: повне видалення, без шимів`).
+
 ## Перевірка
 
 `npx @nitra/cursor check js-bun-db`.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.208",
+  "version": "1.8.210",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/abie/health_check_policy/health_check_policy.rego

@@ -12,7 +12,11 @@
 #  - `spec.targetRef.name` має закінчуватись на `-hl` (headless backend).
 #
 # Cross-file gating (`abie` правило в `.n-cursor.json`, парність з Deployment-каталогу,
-# узгодження з `metadata.name` Deployment) — у JS (`check-abie.mjs`).
+# узгодження з `metadata.name` Deployment) — у JS (`check-abie.mjs`). JS-перевірка
+# в `check-abie.mjs` (`validateAbieHcPolicy`) authoritative й тестує ширший набір полів
+# (apiVersion, spec.default.config.type=="HTTP", targetRef.kind=="Service",
+# обчислений `<name>-hl` суфікс); ця Rego — швидкий gate для одиничного YAML
+# (наприклад через IDE).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/policy/abie/http_route_base/http_route_base.rego

@@ -8,7 +8,8 @@
 #
 # Cross-file gating (саме шлях `…/base/…` визначає, чи застосовувати правило)
 # — у JS: conftest викликаємо лише на YAML-ах з base/. Тут — лише валідація вмісту
-# `spec.hostnames`.
+# `spec.hostnames`. JS authoritative (`check-abie.mjs`) — ця Rego гейт для
+# одиничного YAML.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/policy/hasura/svc_hl/svc_hl.rego

@@ -9,7 +9,8 @@
 # Решта логіки `check-hasura.mjs` (звірення `HASURA_GRAPHQL_ENDPOINT` в `.env`-файлах
 # з `<service>.<namespace>.svc.<cluster>` через regex по всьому дереву репо, gating
 # на `repository` у кореневому `package.json`) — у JS: вона потребує текстового
-# парсингу `.env`-файлів, обходу дерева й cross-file resolution.
+# парсингу `.env`-файлів, обходу дерева й cross-file resolution. JS authoritative;
+# ця Rego — додатковий gate (JS неявно перевіряє суфікс через звірку URL).
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/policy/k8s/manifest/manifest.rego

@@ -20,6 +20,8 @@
 # HPA/PDB/topologySpreadConstraints за каталогом, BackendConfig-сепарація,
 # yaml-language-server schema modeline, namespace-перевірки за деревом
 # `…/k8s/base/`) лишається у `check-k8s.mjs`: вона потребує файлової системи.
+# JS authoritative (`check-k8s.mjs` робить ці ж пер-документні перевірки в ширшому
+# контексті); ця Rego — швидкий gate для одиничного маніфеста.
 #
 # Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
 # Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`

package/scripts/check-adr.mjs

@@ -23,9 +23,7 @@ import { createCheckReporter } from './utils/check-reporter.mjs'
 
 const PROJECT_HOOK_PATH = '.claude/hooks/capture-decisions.sh'
 const PROJECT_SETTINGS_PATH = '.claude/settings.json'
-const PROJECT_LOCAL_SETTINGS_PATH = '.claude/settings.local.json'
 const PROJECT_LOG_PATH = '.claude/hooks/capture-decisions.log'
-const HOOK_COMMAND_MARKER = '.claude/hooks/capture-decisions.sh'
 const EOL_RE = /\r?\n/u
 
 const here = dirname(fileURLToPath(import.meta.url))
@@ -81,93 +79,18 @@ async function checkHookScript(reporter) {
 }
 
 /**
- * Знаходить у `hooks.Stop` групу, де `command` будь-якого hook-а містить маркер.
- * @param {unknown} settings розпарсений `.claude/settings.json`
- * @returns {boolean} `true`, якщо знайдено хоч одну групу з маркером
+ * FS-existence для project-shared `.claude/settings.json` і
+ * `.claude/settings.local.json`. Структуру (`hooks.Stop[]` містить групу з
+ * `capture-decisions.sh`; `settings.local.json` не дублює) валідують
+ * `npm/policy/adr/settings_json/` і `npm/policy/adr/settings_local_json/`.
+ * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер
  */
-function settingsHaveAdrHookGroup(settings) {
-  if (!settings || typeof settings !== 'object') {
-    return false
-  }
-  const hooks = /** @type {Record<string, unknown>} */ (settings).hooks
-  if (!hooks || typeof hooks !== 'object') {
-    return false
-  }
-  const stopGroups = /** @type {Record<string, unknown>} */ (hooks).Stop
-  if (!Array.isArray(stopGroups)) {
-    return false
-  }
-  return stopGroups.some(group => {
-    const inner = group && typeof group === 'object' ? /** @type {Record<string, unknown>} */ (group).hooks : null
-    if (!Array.isArray(inner)) {
-      return false
-    }
-    return inner.some(h => {
-      const cmd = h && typeof h === 'object' ? /** @type {Record<string, unknown>} */ (h).command : null
-      return typeof cmd === 'string' && cmd.includes(HOOK_COMMAND_MARKER)
-    })
-  })
-}
-
-/**
- * Зчитує JSON-файл або повертає `undefined`, якщо файл відсутній чи невалідний.
- * @param {string} path відносний шлях до JSON-файлу
- * @returns {Promise<unknown | undefined>} розпарсений вміст або `undefined`
- */
-async function readJsonOrUndefined(path) {
-  if (!existsSync(path)) {
-    return
-  }
-  try {
-    return JSON.parse(await readFile(path, 'utf8'))
-  } catch {
-    return
-  }
-}
-
-/**
- * Перевіряє project-shared `.claude/settings.json` на наявність ADR Stop-hook'а.
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
- * @returns {Promise<void>}
- */
-async function checkProjectSettings(reporter) {
+function checkProjectSettings(reporter) {
   const { pass, fail } = reporter
-  const settings = await readJsonOrUndefined(PROJECT_SETTINGS_PATH)
-  if (settings === undefined) {
-    fail(`${PROJECT_SETTINGS_PATH} не існує або невалідний — запусти \`npx @nitra/cursor\``)
-    return
-  }
-  if (settingsHaveAdrHookGroup(settings)) {
-    pass(`${PROJECT_SETTINGS_PATH} містить ADR Stop-hook (capture-decisions.sh)`)
-  } else {
-    fail(
-      `${PROJECT_SETTINGS_PATH}: у hooks.Stop немає групи з \`${HOOK_COMMAND_MARKER}\` — переконайся, що "adr" у rules і запусти \`npx @nitra/cursor\``
-    )
-  }
-}
-
-/**
- * Перевіряє, що `.claude/settings.local.json` не дублює ADR Stop-hook (project-shared — джерело правди).
- * @param {import('./utils/check-reporter.mjs').CheckReporter} reporter репортер для збору результатів
- * @returns {Promise<void>}
- */
-async function checkLocalSettingsNoDuplicate(reporter) {
-  const { pass, fail } = reporter
-  if (!existsSync(PROJECT_LOCAL_SETTINGS_PATH)) {
-    pass(`${PROJECT_LOCAL_SETTINGS_PATH} відсутній — дубля немає`)
-    return
-  }
-  const local = await readJsonOrUndefined(PROJECT_LOCAL_SETTINGS_PATH)
-  if (local === undefined) {
-    pass(`${PROJECT_LOCAL_SETTINGS_PATH} нечитабельний — дубля немає`)
-    return
-  }
-  if (settingsHaveAdrHookGroup(local)) {
-    fail(
-      `${PROJECT_LOCAL_SETTINGS_PATH} містить дубль ADR Stop-hook (capture-decisions.sh) — прибери, бо project-shared settings.json уже керує цим`
-    )
+  if (existsSync(PROJECT_SETTINGS_PATH)) {
+    pass(`${PROJECT_SETTINGS_PATH} є (Stop-hook перевіряє bun run lint-conftest → adr.settings_json)`)
   } else {
-    pass(`${PROJECT_LOCAL_SETTINGS_PATH} не дублює ADR Stop-hook`)
+    fail(`${PROJECT_SETTINGS_PATH} не існує — запусти \`npx @nitra/cursor\``)
   }
 }
 
@@ -244,8 +167,7 @@ function checkLlmCliAvailable(reporter) {
 export async function check() {
   const reporter = createCheckReporter()
   await checkHookScript(reporter)
-  await checkProjectSettings(reporter)
-  await checkLocalSettingsNoDuplicate(reporter)
+  checkProjectSettings(reporter)
   await checkGitignore(reporter)
   checkLlmCliAvailable(reporter)
   return reporter.getExitCode()

package/scripts/check-ga.mjs

@@ -4,18 +4,15 @@
  * Workflows лише з розширенням `.yml`, наявність clean/lint workflow, конфіг zizmor з ref-pin,
  * відсутність MegaLinter, коректний скрипт `lint-ga` у `package.json`, виклик у `lint-ga.yml`,
  * наявність composite `.github/actions/setup-bun-deps/action.yml` (його записує npx `\@nitra/cursor`),
- * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`,
- * перед `uses: ./…/setup-bun-deps` у workflow — `actions/checkout` (runner інакше не бачить локальний action).
+ * `\.vscode/settings.json` — `editor.defaultFormatter` **oxc** для `[github-actions-workflow]`.
  *
- * Також перевіряє, що ключові workflow (`clean-ga-workflows.yml`, `clean-merged-branch.yml`, `lint-ga.yml`, `git-ai.yml`)
- * мають структуру й значення, узгоджені з `npm/mdc/ga.mdc`. Для цих файлів перевірка виконується структурно
- * (після YAML parse), щоб не залежати від форматування/відступів.
- *
- * Заборонено дублювати кроки встановлення Bun та кешування безпосередньо у workflow файлах
- * (oven-sh/setup-bun, actions/cache, bun install). Перевірки `uses`/`run` виконуються після **YAML parse**
- * (`yaml`), щоб не спрацьовувати на випадкові збіги в коментарях або поза кроками.
- *
- * У `run:` заборонено shell-продовження рядків через `\\` перед переносом; довгі команди — через folded block `>-`.
+ * Структурні поля 4 канонічних workflow (`clean-ga-workflows.yml`, `clean-merged-branch.yml`,
+ * `lint-ga.yml`, `git-ai.yml`) і УНІВЕРСАЛЬНІ перевірки для всіх `.github/workflows/*.yml`
+ * (`concurrency`, заборонені `oven-sh/setup-bun` / `actions/cache` / `bun install` у `uses`/`run`,
+ * shell-продовження `\` у `run`, обов'язковий `actions/checkout@v6` перед локальним
+ * `setup-bun-deps`) — у Rego-полісі під `npm/policy/ga/` і запускаються через
+ * `bun run lint-ga` (`runConftestStep` у `lint-ga.mjs`). Тут лишилася лише git-залежна
+ * перевірка `on.*.paths` glob-ів через `git ls-files :(glob)`.
  */
 import { existsSync } from 'node:fs'
 import { readdir, readFile } from 'node:fs/promises'
@@ -23,14 +20,7 @@ import { execFileSync } from 'node:child_process'
 import { join } from 'node:path'
 
 import { createCheckReporter } from './utils/check-reporter.mjs'
-import {
-  eventPathsIncludeExact,
-  findForbiddenUsesOrRunPatterns,
-  findRunStepsWithShellLineContinuationBackslash,
-  hasAnyStepUsesContaining,
-  hasCheckoutBeforeLocalSetupBunDeps,
-  parseWorkflowYaml
-} from './utils/gha-workflow.mjs'
+import { eventPathsIncludeExact, parseWorkflowYaml } from './utils/gha-workflow.mjs'
 import { resolveCmd } from './utils/resolve-cmd.mjs'
 
 /** Шаблони наявності MegaLinter у вмісті workflow */
@@ -41,22 +31,9 @@ const MEGALINTER_CONFIG_NAMES = ['.mega-linter.yml', '.megalinter.yaml', '.mega-
 
 const N_CURSOR_LINT_GA_RE = /\bn-cursor\s+lint-ga\b/
 
-/** Локальні composite setup-bun-deps (ga.mdc). */
-const SETUP_BUN_PATTERNS = ['./.github/actions/setup-bun-deps', './npm/github-actions/setup-bun-deps']
-
-/** Заборонені підрядки лише в кроках uses/run. */
-const FORBIDDEN_BUN_PATTERNS = [
-  { pattern: 'oven-sh/setup-bun', msg: 'використовуй .github/actions/setup-bun-deps замість oven-sh/setup-bun' },
-  { pattern: 'actions/cache', msg: 'використовуй .github/actions/setup-bun-deps замість actions/cache' },
-  { pattern: 'bun install', msg: 'використовуй .github/actions/setup-bun-deps замість bun install' }
-]
-
 /** Обовʼязкові workflow-файли (ga.mdc). */
 const REQUIRED_WORKFLOWS = ['clean-ga-workflows.yml', 'clean-merged-branch.yml', 'lint-ga.yml', 'git-ai.yml']
 
-/** Канонічне значення `concurrency.group` (ga.mdc). Збирається з фрагментів, щоб не плодити expression-токени в коді. */
-const EXPECTED_CONCURRENCY_GROUP = ['$', '{{ github.ref }}-$', '{{ github.workflow }}'].join('')
-
 /**
  * Повертає true, якщо glob у GitHub Actions `on.*.paths` матчитсья хоча б на один tracked файл у репозиторії.
  *
@@ -156,162 +133,6 @@ function getObjKey(obj, key) {
     : undefined
 }
 
-/**
- * Перевіряє блок `concurrency` на вже розпарсеному корені workflow (ga.mdc).
- *
- * Використовується в канонічних структурних валідаторах (clean-ga-workflows, clean-merged-branch,
- * lint-ga, git-ai), де root уже отримано через `parseWorkflowYaml`. Логіка ідентична
- * `verifyConcurrencyBlock`, але без повторного парсингу.
- * @param {string} relPath шлях для повідомлень
- * @param {Record<string, unknown>} root parsed YAML workflow
- * @param {(msg: string) => void} passFn pass
- * @param {(msg: string) => void} failFn fail
- * @returns {void}
- */
-function validateConcurrencyOnRoot(relPath, root, passFn, failFn) {
-  const conc = getObjKey(root, 'concurrency')
-  if (!conc || typeof conc !== 'object') {
-    failFn(
-      `${relPath}: відсутня секція concurrency — додай concurrency.group: ${EXPECTED_CONCURRENCY_GROUP} і cancel-in-progress: true (ga.mdc)`
-    )
-    return
-  }
-  const group = getObjKey(conc, 'group')
-  const cancel = getObjKey(conc, 'cancel-in-progress')
-  if (group !== EXPECTED_CONCURRENCY_GROUP) {
-    failFn(`${relPath}: concurrency.group має бути ${EXPECTED_CONCURRENCY_GROUP} (ga.mdc)`)
-    return
-  }
-  if (cancel !== true) {
-    failFn(`${relPath}: concurrency.cancel-in-progress має бути true (ga.mdc)`)
-    return
-  }
-  passFn(`${relPath}: concurrency блок OK`)
-}
-
-/**
- * Перевіряє, що workflow містить блок `concurrency` з канонічними `group` і `cancel-in-progress: true` (ga.mdc).
- *
- * Без винятків — застосовується до всіх workflow у `.github/workflows/*.yml`, включно з scheduled cleanup,
- * `pull_request: types: [closed]` та publish-воркфлоу. Делегує логіку `validateConcurrencyOnRoot`,
- * додаючи лише крок парсингу YAML; якщо парсинг провалився — мовчки виходить (синтаксичні проблеми
- * ловлять інші перевірки).
- * @param {string} relPath шлях для повідомлень
- * @param {string} content вміст YAML
- * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
- * @param {(msg: string) => void} passFn реєструє успішну перевірку
- * @returns {void}
- */
-function verifyConcurrencyBlock(relPath, content, failFn, passFn) {
-  const root = parseWorkflowYaml(content)
-  if (!root) {
-    return
-  }
-  validateConcurrencyOnRoot(relPath, root, passFn, failFn)
-}
-
-/**
- * Якщо workflow викликає локальний setup-bun-deps, раніше у файлі має бути `actions/checkout@v…` (ga.mdc).
- * Fallback: сирий текст, якщо YAML не вдається розібрати.
- * @param {string} relPath шлях для повідомлень
- * @param {string} content вміст YAML
- * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
- * @param {(msg: string) => void} passFn реєструє успішну перевірку
- * @returns {void}
- */
-function verifyCheckoutBeforeLocalSetupBunDeps(relPath, content, failFn, passFn) {
-  const root = parseWorkflowYaml(content)
-  if (root) {
-    if (!hasAnyStepUsesContaining(root, SETUP_BUN_PATTERNS)) {
-      return
-    }
-    if (!hasCheckoutBeforeLocalSetupBunDeps(root, SETUP_BUN_PATTERNS)) {
-      failFn(
-        `${relPath}: перед локальним setup-bun-deps потрібен крок actions/checkout@v6 — інакше runner не знайде action.yml (ga.mdc)`
-      )
-      return
-    }
-    passFn(`${relPath}: перед setup-bun-deps є checkout`)
-    return
-  }
-  let idxSetup = -1
-  for (const p of SETUP_BUN_PATTERNS) {
-    const i = content.indexOf(p)
-    if (i !== -1 && (idxSetup === -1 || i < idxSetup)) {
-      idxSetup = i
-    }
-  }
-  if (idxSetup === -1) {
-    return
-  }
-  const idxCheckout = content.indexOf('actions/checkout@v')
-  if (idxCheckout === -1 || idxCheckout > idxSetup) {
-    failFn(
-      `${relPath}: перед локальним setup-bun-deps потрібен крок actions/checkout@v6 — інакше runner не знайде action.yml (ga.mdc)`
-    )
-    return
-  }
-  passFn(`${relPath}: перед setup-bun-deps є checkout`)
-}
-
-/**
- * Перевіряє заборонені кроки Bun/cache/install у `uses` та `run`.
- * @param {string} relPath шлях для повідомлень
- * @param {string} content вміст YAML
- * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
- * @param {(msg: string) => void} passFn реєструє успішну перевірку
- * @returns {void}
- */
-function verifyNoDirectBunOrCache(relPath, content, failFn, passFn) {
-  const root = parseWorkflowYaml(content)
-  if (root) {
-    const hits = findForbiddenUsesOrRunPatterns(root, FORBIDDEN_BUN_PATTERNS)
-    if (hits.length === 0) {
-      passFn(`${relPath}: не містить заборонених кроків setup-bun/cache/install`)
-    } else {
-      for (const h of hits) {
-        failFn(`${relPath}: ${h.msg} (ga.mdc)`)
-      }
-    }
-    return
-  }
-  let foundForbidden = false
-  for (const { pattern, msg } of FORBIDDEN_BUN_PATTERNS) {
-    if (content.includes(pattern)) {
-      failFn(`${relPath}: ${msg} (ga.mdc)`)
-      foundForbidden = true
-    }
-  }
-  if (!foundForbidden) {
-    passFn(`${relPath}: не містить заборонених кроків setup-bun/cache/install`)
-  }
-}
-
-/**
- * У кроках `run` заборонено shell-продовження через `\\` перед переносом; замість `run: |` з `\\` використовуй `run: >-`.
- * @param {string} relPath шлях для повідомлень
- * @param {string} content вміст YAML
- * @param {(msg: string) => void} failFn реєструє порушення (exit 1)
- * @param {(msg: string) => void} passFn реєструє успішну перевірку
- * @returns {void}
- */
-function verifyNoRunShellLineContinuationBackslash(relPath, content, failFn, passFn) {
-  const root = parseWorkflowYaml(content)
-  if (!root) {
-    return
-  }
-  const hits = findRunStepsWithShellLineContinuationBackslash(root)
-  if (hits.length === 0) {
-    passFn(String.raw`${relPath}: run без shell-продовження через \ (ga.mdc)`)
-    return
-  }
-  for (const h of hits) {
-    failFn(
-      String.raw`${relPath}: job ${h.jobId}, крок ${h.stepIndex + 1}: у run заборонено продовження рядків через зворотний сліш; довгі команди оформи як folded block (run: >-) без \ на кінцях рядків (ga.mdc)`
-    )
-  }
-}
-
 /**
  * Перевіряє apply-workflow на наявність paths trigger.
  * @param {string} wfDir директорія workflows
@@ -549,12 +370,13 @@ export async function check() {
   const ymlWorkflows = files.filter(f => f.endsWith('.yml'))
   await checkMegalinter(wfDir, ymlWorkflows, pass, fail)
 
+  // Універсальні структурні перевірки (concurrency, заборонені setup-bun/cache,
+  // shell line-continuation `\`, checkout перед локальним setup-bun-deps)
+  // перенесено в Rego (`npm/policy/ga/workflow_common/`); їх запускає
+  // `bun run lint-ga` через conftest. Тут лишилася лише git-залежна перевірка
+  // `on.push.paths` glob-ів (вимагає `git ls-files`).
   for (const f of ymlWorkflows) {
     const content = await readFile(join(wfDir, f), 'utf8')
-    verifyCheckoutBeforeLocalSetupBunDeps(`${wfDir}/${f}`, content, fail, pass)
-    verifyNoDirectBunOrCache(`${wfDir}/${f}`, content, fail, pass)
-    verifyNoRunShellLineContinuationBackslash(`${wfDir}/${f}`, content, fail, pass)
-    verifyConcurrencyBlock(`${wfDir}/${f}`, content, fail, pass)
     const parsed = parseWorkflowYaml(content)
     if (parsed) {
       verifyWorkflowEventPathsGlobsExist(`${wfDir}/${f}`, parsed, pass, fail)